拒绝服务防御技术在IXP处理器平台的实现.pdfVIP

电孑 商 蒡 拒绝服务防御技术在 IXP处理器平台的实现 一 付 祥 浙江机 电职业技术学院 本文系浙江机电职业技术学院科技创新孵化基金项 目支持 [摘 要]本文介绍了分布式拒绝服务防御技术中SYNCookie的原理，提出一种改进 目前嵌入式Linux中SYNCookie技术的 思路 ，并在基于INTELIxP网络处理器的硬件平 台上 ，得到了实践和验证 。 [关键词]分布式拒绝服务 嵌入式LINUX 路 由器 lntelIXP处理器 在 目前的因特网体系结构中，网络安全一直是一个不容被忽 防止本机遭受SYNFlood攻击．但在笔者实践中 不仅需要让设 视的问题．在各类网络环境中，SYNFlood是一种非常危险而常见 备 自身对SYNFlood攻击免疫 ，而且还要保护它后面所有对外开 的DDoS攻击方式 而能够有效防范SYNFlood攻击的手段并不多， 放TCP端 口的主机免受攻击。 $YNCookie是其中最著名的一种．笔者在设计一个基于IXP1200的 为此，我们利用原SYNCookie原理在内网和外网之间实现 路由器软件时，对SYNCookie技术实现进行了相关实践。 YCP三次握手过程的代理。 ． 一 、 SYNFlood攻击和 SYNCookie原理 在代理L1Nux系统S收到来 自外网的SYN包时．它并不直接 SYNFlood攻击是一种典型的拒绝服务型攻击 ，它利用的是 转发，而是缓存在本地 ．再按照原来 SYNCookie的机制制作好 TCP协议的三次握手过程进行的攻击。YCP协议规定，如果一端 一个针对这个SYN包的SYN+ACK包．注意．这个SYN+ACK包 想向另一端发起连接 ，它需要首先发送TCPSYN包到对方，对 中的ack顺序号为特制的cookie值 C 更重要的是这个包的的源 方收到后发送一个 TCPSYN+ACK包回来．发起方再发送TCP 地址被伪造成了S的地址。这样C会接收到这个SYN+ACK包．并 ACK包回去 这样三次握手就结束了。我们把TCP连接的发起方 认为是从S反馈回来的。于是C再响应一个ACK包，并认为与S 叫作”TCP客户机 “，q-CP连接的接收方叫作 TCP服务器 ，值 的TCP连接已经建立起来。这时防火墙F收到这个ACK包，按照 得注意的是在TCP服务器收到TCPSYNrequest包时 在发送YCP 前面的描述的SYNCookie原理来检查这个ACK中的ack顺序号。 SYN+ACK包回TCP客户机前 ，TCP服务器要先分配好～个数据区 如果认为合法．F将本地缓存的来 自c的SYN包发送给S．这时 专门服务于这个即将形成的TCP连接，这种连接状态称半开连 S会响应一个SYN+ACK包到C，其中也携带一个seq号 ，我们设 接。在最常见的SYNFlood攻击中，攻击者在短时间内发送大量 为C。当然这个包不会到达c，而是由防火墙F截取，F根据这 的TCPSYN包给受害者．这时攻击者是TCP客户机，受害者是 个包中的序列号等信息，造一个ACK包响应到s。这时的情况 TCP服务器．受害者会为每个YCPSYN包分配一个特定的数据 是：C认为 自己已经与S建立了TCP连接：S认为 自己与C建立 区，只要这些SYN包具有不同的源地址 这将最终导致系统不能 了TCP连接。以后的TCP数据内容可以直接穿过防火墙F．在s 正常工作。 和c之间交互。 $YNCookie是对YCP服务器端的三次握手协议做一些修改． 它相当于在TCPServer与TCPCllent之间实现了对三次握手 专门用来防范SYNFlood攻击。它的原理是．在TCP服务器收到 协议的代理。第一次”三次握手 在TCPCIient与代理LINUX系 TCPSYN包并返回YCPSYN+ACK包时，不分配一个专门的数据 统之间进行，第二次”三次握手”在代理LINUX系统与TCPServer 区 而是根据这个SYN包计算出一个cookie值。在收到YCPACK 之间。 包时．TCP服务器再根据那个cookie值检查这个TCPACK包的合 四、结束语 法性。如果合法，再分配专 门的数据区进行处理。